DD240456A1 - Informationsverarbeitungssystem mit hohem zuverlaessigkeits- und sicherheitsniveau - Google Patents

Informationsverarbeitungssystem mit hohem zuverlaessigkeits- und sicherheitsniveau Download PDF

Info

Publication number
DD240456A1
DD240456A1 DD27993385A DD27993385A DD240456A1 DD 240456 A1 DD240456 A1 DD 240456A1 DD 27993385 A DD27993385 A DD 27993385A DD 27993385 A DD27993385 A DD 27993385A DD 240456 A1 DD240456 A1 DD 240456A1
Authority
DD
German Democratic Republic
Prior art keywords
module
computer
computers
input
modules
Prior art date
Application number
DD27993385A
Other languages
English (en)
Inventor
Hans-Joachim Stoll
Norbert Kucharzyk
Juergen Nikolaizik
Udo Kretzschmann
Hans-Juergen Nollau
Thomas Hofmann
Original Assignee
Verkehrswesen Forsch Inst
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Verkehrswesen Forsch Inst filed Critical Verkehrswesen Forsch Inst
Priority to DD27993385A priority Critical patent/DD240456A1/de
Publication of DD240456A1 publication Critical patent/DD240456A1/de

Links

Landscapes

  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft eine Schaltungsanordnung zur Prozessautomatisierung auf der Basis von (m v n)-Rechnermodulen. Ausgehend von dem Ziel, eine weitere Erhoehung der Zuverlaessigkeit von komplexen Automatisierungssystemen zu erreichen, stellt sich die Erfindung die Aufgabe, mit Hilfe einer Schaltungsanordnung eine bestimmte Klasse von Mehrfachfehlern in diesen Automatisierungssystemen zu vermeiden, d. h. dass diese bestimmte Klasse von Mehrfachfehlern toleriert wird. Erfindungsgemaess wird die Aufgabe durch eine direkte Kopplung zwischen den Rechnern Rj der beteiligten (m v n)-Module mit einer zusaetzlichen zyklisch vertauschten weiteren Kopplung zwischen den Rechnern Rj der Module unter Mitwirkung von Ein- und Ausgabeeinheiten mit jeweils mindestens zwei Ein-Ausgabe-Kanaelen geloest. Die Erfindung kann zur Prozesssteuerung in Kraftwerken, Anlagen der Chemie und zur Steuerung sicherungstechnischer Abhaengigkeiten beim schienengebundenen Verkehr angewendet werden. Fig. 1

Description

Anwendungsgebiet der Erfindung.
Die Erfindung betrifft eine Schaltungsanordnung zur Prozeßautomatisierung auf der Basis von (m ν n)-Rechnermodulen. Eine derartige Schaltungsanordnung ist überall dort einsetzbar, wo hohe Zuverlässigkeits- und Sicherheitsforderungen existieren, wie bei der Prozeßsteuerung von Kraftwerken, Anlagen der Chemie und für sicherungstechnsiche Abhängigkeiten beim schienengebundenen Verkehr.
Charakteristik der bekannten technischen Lösungen
Bei komplexen Automatisierungssystemen werden die Aufgaben im allgemeinen hierarchisch auf mehrere Rechnersysteme verteilt, die über Übertragungssysteme Daten zur gegenseitigen Kommunikation austauschen. Für hohe Zuverlässigkeits- und Sicherheitsforderungen sind die Rechnersysteme jeweils als (m ν n)-Rechnermodule (m < n) realisiert. Ein solch typisches Automatisierungssystem ist aus der DD-PS 160757 bekannt. Diesem hierarchisch aufgebauten Mehrfach-Rechnersystem haftet der Mangel an, daß beim Auftreten einer bestimmten Klasse von Mehrfachfehlern, ohne daß ein beteiligtes (2 ν 3)-Rechnermodul ausgefallen ist, das Gesamtsystem ausfällt.
Weistz. B.dasinderPS 160757 angeführte Leitrechnersystem (2 ν 3)-Modul einen Einzelfehler auf. (Rechner LR1 ist ausgefallen) und fällt zusätzlich die an den Rechner LR 2 bidirektional angeschlossene Leitsammelleitung aus, dann ist eine Datenübertragung nur noch über einen Weg zum (2 v3)-Modul, des Bereichsrechners BR, in diesem Fall zu den E/A-Einheiten 4.7.1.1.1.; 4.7.1.2.1. und 4.7.1.3.1. möglich, d.h. diese E/A-Einheiten erhalten jeweils nur eine (anstatt der mindestens notwendigen zwei) Informationen, so daß der notwendige Vergleich der Information auf Übereinstimmung nicht mehr durchgeführt werden kann. Somit ist das Gesamtsystem (Leitrechnersystem und Bereichsrechnersystem) ausgefallen, da das Bereichsrechnersystem BR nicht mehr arbeitsfähig ist.
Aus der Technik sind weiterhin Lösungen bekannt, bei denen die (2 v3)-Moduleübereine Modul-Interne-Kopplung MIK verfügen, die es ermöglicht. Informationen an die Nachbarrechner des Moduls zu übertragen. Wird zwischen solchen Modulen eine Kommunikation auf der Grundlage von drei Übertragungsstrecken U1; U2; U3 aufgebaut, kommt es beim Eintreten des angenommenen Zweifachfehlers (z.B. Rechner R1 in Modul I und U2 ausgefallen) trotz der MIKzu einem Ausfall des Gesamtsystems (Modul I und Modul II). Dieser Ausfall ergibt sich, weil nur der Rechner R3 (Modul II) im angenommenen Fehlerfall die Information vom Modul I erhält und erzwar diese Information den Nachbarrechnern (Modul II) über die MIK zur weiteren Verarbeitung übergeben kann, jedoch dies für die Bearbeitung von sicherheitsrelevanten Aufgaben nicht akzeptiert werden darf, da keine Unabhängigkeit der Informationsbereitstellung für den notwendigen Vergleich gewährleistet ist. Zu den gleichen Wirkungen, wie eben dargestellt, führen z. B. die Ausfallkombinationen R1 (Modul I) und R2 (Modul II), R1 (Modul I) und R3 (Modul II) oder R2 (Modul II) und U1. In den dargestellten Ausfällen tritt die Auswirkung eines Zweifachfehlers besonders drastisch in Erscheinung, denn obwohl der Modul Il funktionsfähig und der Modul I im (2 ν 2j-Betrieb weiter arbeitsfähig ist, kann eine Kommunikation nicht erfolgen und das Automatisierungssystem müßte in einen definiert sicheren Zustand überführt werden.
Die angenommenen Fehlerkombinationen beeinträchtigen sowohl das Zuverlässigkeits- als auch das Sicherheitsniveau einer derartig realisierten Automatisierungsanlage.
Ziel der Erfindung
Das Ziel der Erfindung ist die Beseitigung der vorgenannten technischen Nachteile und somit eine weitere Erhöhung der Zuverlässigkeit von komplexen Automatisierungssystemen, die auf der Basis von (m ν n)-Rechnermodulen (mit m < n) aufgebaut sind.
Darlegung des Wesens der Erfindung '
Der Erfindung liegt die Aufgabe zugrunde, eine Schaltungsanordnung zu schaffen, mit deren Hilfe eine bestimmte Klasse von Mehrfachfehlern in komplexen Automatisierungssystemen vermieden werden kann, d.h. daß diese bestimmte Klasse von Mehrfachfehlern toleriert wird.
Erfindungsgemäß wird die Aufgabe durch die direkte Kopplung zwischen den Rechnern R, der beteiligten (m ν n)-Moduie mit einer zusätzlichen zyklisch vertauschten weiteren Kopplung zwischen den Rechnern R1- der Module unter Mitwirkung von Ein- und Ausgabe-Einheiten mit jeweils mindestens zwei Ein-Ausgabe-Kanälen gelöst. Die erfindungsgemäße Schaltungsanordnung besteht aus mindestens zwei (m ν m)-Modulen, wobei in jedem Rechner eines Moduls ein (m ν n)-Vergleich, hard-oder softwaremäßig realisiert, durchgeführt wird undjederRechnerüberzwei Ein-Ausga'be-Einheiten E/A-i und E/A2 verfügt. Uberdie Ein-Ausgabe-Einheit EzTV1 wird die Modul-Interne-Kopplung MIK zwischen den Einzelrechnern realisiert; d. h. auf diesem Weg geschieht der Informationsaustausch zwischen den Rechnern eines (m vn)-Moduls. Die Ein-Ausgabe-Einheit E/A2 dient zum -Ausgeben und Empfangen von Informationen und verfügt über zwei Datenkanäle A und B. Eine spezielle Realisierungsform dafür ist ein SIO-Baustein, Im Regelfall, d.h. im fehlerfreien Zustand, werden in Informationen über den Kanal B und der dazugehörigen Übertragungsstrecke Üb\ (i = 1; 2; 3...n) ausgegeben und empfangen. Der Übertragungskanal ÜBi ist direkt zwischen den Rechnern Rj der (m ν n)-Module geschaltet. Der Kansl A ist über die dazugehörige Übertragungsstrecke ÜAi (i = 1; 2; 3...n) nicht wie der Kanal B mit dem zugeordneten Rechner des anderen (m ν n)-Moduls verbunden, sondern es wird erfindungsgemäß eine Schaltungsanordnung mit zyklischer Vertauschung angewendet.
Durch die gewählte Übertragungsstruktur in Verbindung mit der durch die Rechner Rj gesteuerten Kanalumschaltung von B nach A ist es möglich die geforderte Aufgabenstellung zu erfüllen. *
Ausführungsbeispiel
Nachstehend soll die Erfindung anhand eines Ausführungsbeispiels näher erläutert werden.
Die Zeichnung zeigt in Fig. 1 das Prinzip einer rechnergesteuerten mehrkanaligen Verbindung von (2 ν 3)-Modulen. In Fig. 2 ist die Tabelle der zu tolerierenden Klasse von Zweifachfehlern dargestellt.
Der Vergleich der Informationen wird von einer intelligenten Zentralen Vergleichereinheit ZVGLE durchgeführt. Es wird angenommen, daß beim Vergleich mittels der Zentralen Vergleichereinheiten ZVGLE vor der Datenübertragung im (2 ν 3)-Modul I fesgestellt wurde, daß der Rechner R-, ausgefallen ist. Damit arbeitet der (2 ν 3)-Modul I im (2 ν 2)-Betrieb weiter und die Datenübertragung über die Übertragungsstrecken UB2 und UB3 zum (2 ν 3)-Modul Il wird freigegeben. An jedes Datenübertragungstelegramm wird das Vergleichsergebnis in Form eines Summenfehlerwortes SFW angehängt, wodurch die Empfänger R2 und R3 im (2v3)-Modul Il über den Modulstatus des Senders (in diesem Fall R1 ausgefallen) informiert werden. Neben dem Ausfall von R-i wird jetzt als weiterer Fehler die Unterbrechung der Übertragungsstrecke UB2 angenommen, d.h.,die Kombinationdieser beiden Fehler ist ein Bestandteil der zu tolerierenden Teilmenge von Zweifachfehlern. Dieser Zweifachfehler wird von dem Automatisierungssystem auf zweierlei Wegen erkannt, die in ihrem Zusammenwirken die Fehlertoleranz erreichen und das Automatisierungssystem arbeitsfähig erhalten.
I.Weg: Der Rechner R2 vom (2 v3)-Modul I erhält kein Quittungssignal von seinem Rechner R2 im (2 v3)-Modul II. Über diesen Sachverhalt wird der funktionsfähige Rechner R3 im (2 v3)-Modul I über die Modul-Interne-Kopplung MIK vom Rechner R2 informiert und es erfolgt in diesem Fall eine Kanalumschaltung bei den Rechnern R2 und R3 im (2 ν 3)-Modul I, so daß der Rechner R2 im (2 ν 3)-Modul I auf die Übertragungsstrecke UA2 und der Rechner R3 im (2 ν 3)-Modul I auf die Übertragungsstrecke UA3 umschaltet, wenn zusätzlich Informationen zum Zweifachfehler über den 2. Weg vorliegen. Damit wird trotz der angenommenen Fehlersituation dem (2 v3)-Modul Il auf zwei von einander unabhängigen Übertragungsstrecken die zu vergleichende Information übermittelt. ,
2. Weg: Im angenommenen Fehlerfall empfängt der Rechner R3 des (2 ν 3)-Modul Il als einziger Rechner die Information mit dem SummenfehlerwortSFWvom Sender (Modul I), so daß er informiert ist, daß die zu vergleichende Information, die zur Signatur zusammengefaßt ist, vom Rechner Ri (Modul II) zu ignorieren ist. Der Rechner R3 (Modul II) übergibt auf dem Wege der Modul-Internen-Kopplung MIK dem Rechner R2 (Modul II) die auf der Basis des Inhalts der Information in der Zentralen Vergleichereinheit ZVGLE gebildete Signatur zum Vergleichen in der Zentralen Vergleichereinheit ZVGLE des Rechners R2 (Modul II). Der Rechner R3 (Modul II) erwartet die Signatur des Rechners R2 (Modul II) zum Vergleich in seiner Zentralen Vergleichereinheit ZVGLE. Da wegen der Unterbrechnung der Übertragungsstrecke UB2 der R2 (Modul II) keine Information erhalten kann, wird die festgelegte Wartezeit überschritten. Diese Überschreitung führt zur Bildung des Summenfehlerwortes SFW das vom Rechner R3 des Moduls Il dem Rechner R3 des Moduls I übergeben wird (Quittungsinformation). Diese Quittungsinformation führt im Modul I; ausgelöst durch den Rechner R3 zur Kanalumschaltung wie im Weg 1 beschrieben. Im Modul Il erfolgt über die Modul-Interne-Kopplung MIK, vom Rechner R3 aktiviert, die Umschaltung des Rechners R1 (Modul II) auf die Übertragungsstrecke UA3 (Kanal A), sowie für R3 (Modul II) selbst ebenfalls eine Umschaltung (UA2 Kanal A). Im Rechner R2 (Modul ll)-wird diese Umschaltung ebenfalls vorgenommen, wobei über die Übertragungsstrecke UA1 keine Informationsübertragung wegen des Ausfalls und der Herausnahme des Rechners R1 (Modul I) aus der sicherheitsrelevanten Informationsverarbeitung erfolgt und zusätzlich der Rechner R2 des Moduls Il auf der Basis der Übermittlung des Summenfehlerwortes SFW eine Nichtbeachtung der Informationen über die Kanäle A und B der Ein-Ausgabe-Einheit E/A2 gewährleistet wird.
Die Informationsübertragung wird über die umgeschalteten Übertragungsstrecken LIA2 und LIA3 erneut vorgenommen. Somit liegen die zu vergleichenden Informationen des Moduls I (R2 und R3) an den Eingängen A der Rechner R1 und R8 des Moduls Il unabhängig voneinander an. Analog zu dem dargestellten Fehlerfall wird verfahren, wie bei;der in Fig. 2 angeführten Klasse von Zweifachfehlern. ' ·'
Verallgemeinert erfolgt in den Modulen stets dann eine Umschaltung auf den zweiten Übertragungskanal, wenn im Empfängermodul nur eine Sendeinformation einschließlich des Summenfehlerwortes SFW eingetroffen ist und wenn der Sendemodul vom Empfängermodul nur eine Quittungsinformation mit dem Summenfehlerwort SFW erhalten hat. Jeder der genannten Module kann sowohl Sender als auch Empfänger sein.

Claims (2)

  1. Erfindungsanspruch:
    1. Informationsverarbeitungssystem mit hohem Zuverlässigkeits- und Sicherheitsniveau auf der Basis von (m ν n)-Rechnermodulen (m < ^,gekennzeichnet dadurch, daß jeder Rechner (R,) der Module einen(m ν n)-Vergieich realisiert und über zwei Eih-Ausgabe-Einheiten (E/A, und E/A2) verfügt, wobei die Ein-und Ausgabeeinheit (EZA1) eines Rechners (Rj) zur jeweils Modul-Intemen-Kopplung (MIK) dient und über Ein-Ausgabe-Einheiten (E/A2) eine derartige Verbindung der Rechner (R1) des einen Moduls zu den Rechnern (Rj) eines anderen Moduls besteht, daß jeweils die Rechner (R, bis Rn) des einen Moduls direkt über Übertragungstrecken (UB1 bis UBn) mit den Rechnern (R1 bis Rn) des anderen Moduls verbunden sind und zusätzlich von den Rechnern (R1 bis Rn) der zusammengeschalteten Module umschaltbare Ein-Ausgabe-Kanäle (A/B) der Ein-Ausgabe-Einheit (E/A2) eine zyklisch vertauschte Verbindung derart gestaltet ist, daß über eine Übertragungsstrecke (ÜAi) der Rechner (Rj) des einen Moduls mit dem Rechner (Ri + {1 des anderen Moduls verbunden ist und daß letztlich über eine Übertragungstrecke (UAn) der Rechner (Rn) des einen Moduls mit dem Rechner (R1) des gleichen anderen Moduls verbunden ist, wobei i = 1 bis η - 1 gilt, und wobei im Falle des zusätzlichen Ausfalls einer Übertragungsstrecke bzw. eines der Rechner (Rj mit j = 1 bis η) eines ersten (m ν n)-Moduls zu einem bereits eingetretenen Ausfall eines der Rechner (Rj) eines zweiten (m ν n)-Moduls bzw. einer Übertragungsstrecke eine Umschaltung der Kanäle in der Ein-Ausgabe-Einheit (E/A2) auf den Kanal A und somit eine Tolerierung der definierten Klasse von Mehrfachfehlern erfolgt.
  2. 2. Informationsverarbeitungssystem nach Punkt 1, gekennzeichnet dadurch, daß der Informationsvergleich mit einer intelligenten Zentralen Vergleichereinheit, die über zwei Ein- und Ausgabekanäle (EZA1) und (E/A2) verfügt, durchgeführt wird.
    Hierzu 2 Seiten Zeichnungen .
DD27993385A 1985-08-23 1985-08-23 Informationsverarbeitungssystem mit hohem zuverlaessigkeits- und sicherheitsniveau DD240456A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DD27993385A DD240456A1 (de) 1985-08-23 1985-08-23 Informationsverarbeitungssystem mit hohem zuverlaessigkeits- und sicherheitsniveau

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DD27993385A DD240456A1 (de) 1985-08-23 1985-08-23 Informationsverarbeitungssystem mit hohem zuverlaessigkeits- und sicherheitsniveau

Publications (1)

Publication Number Publication Date
DD240456A1 true DD240456A1 (de) 1986-10-29

Family

ID=5570720

Family Applications (1)

Application Number Title Priority Date Filing Date
DD27993385A DD240456A1 (de) 1985-08-23 1985-08-23 Informationsverarbeitungssystem mit hohem zuverlaessigkeits- und sicherheitsniveau

Country Status (1)

Country Link
DD (1) DD240456A1 (de)

Similar Documents

Publication Publication Date Title
DE102005016596A1 (de) Teilnehmer, Master-Einheit, Kommunikationssystem und Verfahren zu deren Betreiben
EP2098018A2 (de) Kommunikationssystem mit einer master-slave-struktur
EP0092719B1 (de) Anordnung zur Kopplung von digitalen Verarbeitungseinheiten
DE102006055887A1 (de) Kommunikationssystem mit einer Master-Slave-Struktur
EP1010303B1 (de) Kommunikationseinrichtung für die übertragung von nachrichtensignalen
EP0219917A2 (de) Vermittlungsanlage mit Fehlerkorrektur
EP0164015A1 (de) Schaltungsanordnung für zentralgesteuerte Fernmeldevermittlungsanlagen, insbesondere Fernsprechvermittlungsanlagen, mit zwei parallel arbeitenden Zentralsteuerwerken und Ersatzschaltung im Störungsfall
DE2029874B2 (de) Überwachungsschaltung
DE2108496C3 (de) Schaltungsanordnung zur ständigen Funktionskontrolle der Informationsverarbeitung und der Ausgabe von Datentelegrammen, insbesondere für prozeßrechnergesteuerte Eisenbahnsignalanlagen
DE10031177A1 (de) Verfahren und Anordnung zur gesicherten paketorientierten Informationsübermittlung
DE10318068A1 (de) Verfahren und Vorrichtung zum Paket-orientierten Übertragen sicherheitsrelevanter Daten
EP1016238A1 (de) Redundanzsystem mit &#34;1:n&#34; und &#34;1:1&#34; redundanz für ein asn-system
DD240456A1 (de) Informationsverarbeitungssystem mit hohem zuverlaessigkeits- und sicherheitsniveau
DE3843564A1 (de) Verfahren zur ueberpruefung von verbindungs- und/oder schalteinrichtungen und/oder -leitungen
DE3742117C2 (de)
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
DD240457A1 (de) Informationsverarbeitungssystem mit hohem zuverlaessigkeits- und sicherheitsniveau
EP1135902B1 (de) Verfarhen zum betreiben von peripheriebaugruppen innerhalb einer atm-kommunikationseinrichtung
EP0525921A2 (de) Von quellenseitig her sich wiederholende kryptologisch verschlüsselte Datenübertagung
DE3010803C2 (de) Schalteinrichtung für ein Dreirechner-System in Eisenbahnanlagen
EP0905623A2 (de) Verfahren zum Austausch von Datenpaketen innerhalb eines sicheren Mehrrechnersystems
DE4137489C2 (de) Verfahren und Einrichtung zum zuverlässigen Steuern von Schaltgeräten einer Schaltanlage
DD158966A5 (de) Anordnung zur gesicherten datenausgabe
DD265020A1 (de) Schaltungsanordnung zur signaltechnisch sicheren ansteuerung und ueberwachung von prozesselementen
DD227817A1 (de) Schaltungsanordnung eines m von n - rechnersystems

Legal Events

Date Code Title Description
ENJ Ceased due to non-payment of renewal fee